长期以来,TrueCrypt 一直是安全专业人士首选的全盘加密解决方案(它由爱德华·斯诺登推荐,并成功阻止英国警方访问格伦·格鲁内瓦尔德的搭档大卫·米兰达携带的文件)。
因此,当 TrueCrypt 开发人员在非常可疑的情况下撤回他们的产品时(这种情况导致了不小的普遍偏执),安全界感到非常震惊。当时,对该软件进行了众筹全面审核,第一阶段最近已经解除了一切障碍。
TrueCrypt开发商的撤回让审计项目陷入了一些混乱,但最终决定继续进入第二阶段并完成审计。该工作于 2015 年 4 月初完成,虽然发现了一些问题,但报告(如本博文中总结的)发现,
'Truecrypt 似乎是一款设计相对完善的加密软件。 NCC 审计没有发现故意后门的证据,也没有发现任何会导致软件在大多数情况下不安全的严重设计缺陷。'
这是个好消息,但留下了 TrueCrypt 不再受支持的问题。由于存在一些已知的弱点,再加上不会有更多更新可用,因此现在很难推荐使用 TrueCrypt……。所以进入 VeraCrypt...
维拉密码
VeraCrypt 是经过全面审核和开源TrueCrypt 的分支,“解决了 TrueCrypt 中发现的许多漏洞和安全问题。”它也正在积极开发中,因此可能会得到改进,并会及时修复任何剩余的缺陷。
使用 VeraCrypt,您可以:
- 创建一个虚拟加密磁盘(卷),您可以像真实磁盘一样安装和使用它(并且可以将其制作为隐藏卷)
- 加密整个分区或存储设备(例如硬盘驱动器或 USB 记忆棒)
- 创建包含整个操作系统的分区或存储驱动器(可以隐藏)
所有加密都是实时执行的,使 VeraCrypt 的操作透明。然而,应该指出的是,尽管这种安装加密驱动器的能力非常出色(这也是使 VeraCrypt 成为出色程序的原因之一),但它确实意味着加密密钥在使用过程中存储在临时内存 (RAM) 中,理论上这会使 VeraCrypt 用户面临通过使用预安装的键盘记录器和其他恶意软件进行攻击的可能性。
隐藏卷和隐藏操作系统提供合理的推诿,因为不可能证明它们存在(只要所有正确的预防措施被采取)。在第2部分在本文中,我们将详细探讨隐藏卷。
VeraCrypt 适用于 Windows、OSX 和 Linux。我们的操作指南是针对 Windows 8.1 编写的,但对于任何操作系统(以及 TrueCrypt 的其他分支或版本),基础知识应该或多或少相同。
请注意,与密码棚,VeraCrypt 与 TrueCrypt 卷不兼容(有关此主题的更多信息,请参阅本文末尾)。
创建容器
使用 VeraCrypt 最简单的方法是在文件中创建加密容器。该文件的行为就像任何其他文件一样,可以像普通文件一样移动、删除、重命名等。
1. 下载维拉密码,安装并运行它,然后单击主屏幕上的“创建卷”。
2. 确保选中“创建加密文件容器”单选按钮,然后单击“下一步”。
3. 确保选择“标准 VeraCrypt 卷”,然后单击“下一步”。
4. 单击“选择文件”,选择要保存文件的位置,然后选择文件的名称。不要选择已经存在的文件,因为 VeraCrypt 将删除它并用新的 VeraCrypt 容器替换它。
5. 选择加密算法和哈希算法。提供了有关每种加密算法的信息,以帮助您选择适合您的算法。一般来说,加密强度越强,加密/解密过程所需的时间就越长。
您可以对加密/解密的速度进行基准测试,并测试所有算法是否正常工作。
虽然不如 AES 快,但我们更喜欢双鱼因为我们对 NIST 认证的任何东西都持怀疑态度(我们解释了原因这里.) 我们也会选择漩涡出于同样的原因,哈希算法(请参阅完整的文档有关此主题的更多信息)
6. 选择您想要的文件大小。它可以是其所在驱动器上可用空间的任意大小。
7. 选择密码。这是至关重要的一步;如果您的数据值得加密,那么就值得使用良好的密码进行保护。该向导提供了一些关于选择强密码的好建议(可以使用密钥文件代替,但为了简单起见,在本初学者教程中,我们将坚持使用密码)
8. 在“卷格式”屏幕中,您可以选择要使用的文件系统。我们将采用 FAT 来保持跨设备和平台的最大兼容性。在窗口周围移动鼠标指针可以通过引入真正的随机元素(从而提高安全性)来增强加密密钥的加密强度,因此您应该移动鼠标指针至少 30 秒。完成后,单击“格式化”并等待确认对话框(然后单击“确定”和“退出”)。
您现在已经创建了一个 VeraCrypt 卷(文件容器)!耶!
安装和使用 VeraCrypt 卷
1. 从 VeraCrypt 主屏幕上的列表中选择驱动器号。然后单击“选择文件”并导航到保存刚刚创建的 VeraCrypt 卷的位置,然后单击“打开”。完成后,单击“安装”。
任何备用字母都可以,所以我们选择“J”。现在这将是分配给我们的加密卷的驱动器号
2. 系统将要求您输入之前指定的密码。
3. 该卷现在已安装,并且在所有方面都将像普通卷一样运行,只是其上的所有数据都已加密。您可以通过双击 VeraCrypt 主屏幕上的卷名称来打开它......
...或者可以在资源管理器中作为常规卷进行访问。
正如您所看到的,设置简单加密卷的基础知识非常简单,VeraCrypt 在这方面做得很好。要了解如何设置隐藏卷,请查看本指南的第 2 部分。
方便的提示
如果您使用 Dropbox 并且担心 Dropbox 能够看到您的文件,您可以在 Dropbox 文件夹中创建一个加密的 VeraCrypt 容器。这样,放置在挂载容器中的所有文件在上传到 Dropbox 之前都会被加密,并在本地解密以供查看。
当然,这并不会使文件共享和协作变得容易,但它确实可以保护文件免受窥探。 Android 用户也很幸运,因为 EDS(完整)应用程序允许您在移动时浏览和打开 VeraCrypt 加密卷(免费的 EDS Lite 与 TrueCrypt 容器兼容。)
其他 TrueCrypt 分叉
VeraCrypt 的主要竞争对手是密码棚,这也是基于原始 TrueCrypt 代码的一个分支。与 VeraCrypt 不同,Ciphershed 与传统 TrueCrypt 容器完全兼容,但通常被认为不安全。
'作为 VeraCrypt 的作者,我可以说它与 CipherShed 的主要区别与安全性有关:
- 自 2013 年以来,我们选择增强密钥派生,因为 TrueCrypt 方法无法提供与 2004 年发布时相同的安全性。这解释了为什么 VeraCrypt 不再支持 TrueCrypt 容器(计划提供转换工具)。
- 在最新版本中,我们纠正了 Open Crypto Audit 项目发现的大部分安全问题。在下一个版本中,我们将纠正引导加载程序中的安全问题。
我理解 CipherShed 决定坚持使用 TrueCrypt 格式,但这使得他们很难增强密钥派生的安全性。尽管如此,他们可以从我们迄今为止实施的所有安全修复中受益(由于缺乏时间,我很难为 CipherShed 做出贡献,但由于这两个项目共享相同的代码库,因此将一个项目的修改报告给另一个项目是可行的)。'
一些用户更喜欢坚持使用最后一个已知的“安全”版本TrueCrypt (7.1a),但由于这包含已知(如果不是关键)的弱点,我们建议使用 VeraCrypt 代替(如果向后兼容性很重要,则使用 Ciphershed)。
对于那些仍然对 TrueCrypt 保持警惕的人(在我们看来,无论审计结果如何,这是一个完全可以理解的立场),我们有一篇关于 TrueCrypt 的 6 种最佳开源替代品的文章。